antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

CCIE DC: Advanced FabricPath

Опубликовано 5 Август , 2014

Базовая конфигурация коммутаторов:

N5K1(config)# sh run fabricpath
!
install feature-set fabricpath
feature-set fabricpath
!
vlan 500
  mode fabricpath
!
interface Ethernet1/17
  switchport mode fabricpath
interface Ethernet1/18
  switchport mode fabricpath

Отношения соседства установлены, маршрутная информация находится в актуальном состоянии:

N5K1(config-if)# show fabricpath isis adjacency
Fabricpath IS-IS domain: default Fabricpath IS-IS adjacency database:
System ID       SNPA            Level  State  Hold Time  Interface
N5K2            N/A             1      UP     00:00:24   Ethernet1/17
N5K2            N/A             1      UP     00:00:26   Ethernet1/18

 

N5K1(config-if)# show fabricpath isis route
Fabricpath IS-IS domain: default MT-0
Topology 0, Tree 0, Swid routing table
362, L1
 via Ethernet1/17, metric 40
 via Ethernet1/18, metric 40

Теперь введем аутентификацию. FabricPath имеет два уровня аутентификации. Первый уровень, доменный, применяется на коммутатор целиком (или же на VDC). Он предотвращает изучение FabricPath маршрутов от недоверенных источников. Здесь важно отметить, что ISIS отношения соседства при этом устанавливаются. Т.е. аутентифицируются только LSP/NSP сообщения ISIS-протокола, PDU проходят прозрачно. Убедимся в этом. Для примера настроим доменную аутентификацию только на одном коммутаторе (N5K1).

key chain FABRICPATH
  key 1
    key-string 7 070931014d000a0618
fabricpath domain default
  authentication-type md5
  authentication key-chain FABRICPATH

Отношения соседства с N5K2 установлены:

N5K1# show fabricpath isis adjacency
Fabricpath IS-IS domain: default Fabricpath IS-IS adjacency database:
System ID       SNPA            Level  State  Hold Time  Interface
0005.73b2.f5fc  N/A             1      UP     00:00:26   Ethernet1/17
0005.73b2.f5fc  N/A             1      UP     00:00:24   Ethernet1/18

но маршрутов нет:

N5K1# show fabricpath route
FabricPath Unicast Route Table
'a/b/c' denotes ftag/switch-id/subswitch-id
'[x/y]' denotes [admin distance/metric]
ftag 0 is local ftag
subswitch-id 0 is default subswitch-id
FabricPath Unicast Route Table for Topology-Default
0/542/0, number of next-hops: 0
        via ---- , [60/0], 0 day/s 00:00:58, local

Красным цветом выделен важный момент. На N5K1 в качестве соседа указан mac-адрес, а не имя N5K2. Это говорит о том, что hello-сообщение было получено, но оно не прошло верификацию.

После добавления конструкции

fabricpath domain default
  authentication-type md5
  authentication key-chain FABRICPATH

на N5K2, всё приходит в норму:

N5K1# show fabricpath isis adjacency
Fabricpath IS-IS domain: default Fabricpath IS-IS adjacency database:
System ID       SNPA            Level  State  Hold Time  Interface
N5K2            N/A             1      UP     00:00:29   Ethernet1/17
N5K2            N/A             1      UP     00:00:25   Ethernet1/18

Если же Вы хотите сделать так, чтобы при неправильном пароле adjacency вообще не устанавливались, необходимо настроить аутентификацию PDU сообщений. Делается это отдельно на каждом физическом интерфейсе.

interface Ethernet1/17-18
  fabricpath isis authentication-type md5
  fabricpath isis authentication key-chain FABRICPATH-INTF

Если ввести только на одной стороне, то отношения соседства разрываются

N5K1(config-if-range)# show fabricpath isis adjacency
Fabricpath IS-IS domain: default Fabricpath IS-IS adjacency database:
System ID       SNPA            Level  State  Hold Time  Interface
N5K2            N/A             1      LOST   00:04:30   Ethernet1/17
N5K2            N/A             1      LOST   00:05:19   Ethernet1/18

 

Рассмотрим пару дополнительных «фишек». Как Вы знаете, для каждого FabricPath дерева выбирается свой корень (root). Администратор всегда может узнать какой коммутатор является корневым в топологии

N5K1# show fabricpath isis topology summary
Fabricpath IS-IS domain: default FabricPath IS-IS Topology Summary
MT-0
  Configured interfaces:  Ethernet1/17  Ethernet1/18
  Number of trees: 2
    Tree id: 1, ftag: 1, root system: 0005.73b4.7d3c, 542
    Tree id: 2, ftag: 2, root system: 0005.73b2.f5fc, 666

И при желании изменить его. Для этого необходимо поменять приоритет коммутатора для всего домена

fabricpath domain default
    root-priority 1

или для конкретной топологии

fabricpath domain default
  topology 1
   root-priority 1

При желании можно затюнить ISIS-таймеры, поменять метрику (которая используется для вычисления кратчайшего пути)

N5K2(config-if)# fabricpath isis ?
  csnp-interval                 Set CSNP interval in seconds
  hello-interval                Set Hello interval in seconds
  hello-multiplier              Set multiplier for Hello holding time
  hello-padding                 Pad IS-IS hello PDUs to full MTU
  lsp-interval                  Set LSP transmission interval
  metric                        Configure the metric for interface
  retransmit-interval           Set per-LSP retransmission interval
  retransmit-throttle-interval  Set interface LSP retransmission interval

Остановлюсь чуть подробнее на том, что это за таймеры/фичи и за что отвечают:

— hello-interval отвечает за то, как часто необходимо отправлять hello-сообщения

— hello-padding информирует коммутатор о том, что все отправляемые hello-сообщения необходимо дополнять по размеру для MTU. Преимуществом включения технологии является раннее детектирование проблем с MTU на транспорте (помните что будет с OSPF, если MTU на интерфейсах соседей отличаются?)

— lsp-interval задает задержку (в мс) между отправками двух LSP-сообщений. Полезно увеличить значение в случае если у коммутатора много ISIS соседей.

— csnp-interval вводится только на Designated Router. Отвечает за то, как часто он будет сверять синхронизацию базы данных с соседями.

Посмотреть настроенные таймеры, аутентификацию можно командой

N5K1# show fabricpath isis interface e1/17
Fabricpath IS-IS domain: default
Interface: Ethernet1/17
  Status: protocol-up/link-up/admin-up
  Index: 0x0001, Local Circuit ID: 0x01, Circuit Type: L1
  Authentication type MD5
  Authentication keychain is FABRICPATH-INTF
  Authentication check specified
  Extended Local Circuit ID: 0x1A010000, P2P Circuit ID: 0000.0000.0000.00
  Retx interval: 5, Retx throttle interval: 66 ms
  LSP interval: 33 ms, MTU: 1500
  P2P Adjs: 1, AdjsUp: 1, Priority 64
  Hello Interval: 10, Multi: 3, Next IIH: 00:00:02
  Level   Adjs   AdjsUp  Metric   CSNP  Next CSNP  Last LSP ID
  1          1        1      40     60  00:00:31   ffff.ffff.ffff.ff-ff
  Topologies enabled:
    Topology Metric  MetricConfig Forwarding
    0        40      no           UP

Также Вы можете настроить метод балансировки для равноправных путей

N5K1(config)# fabricpath load-balance unicast ?
  <CR>
  destination         Include destination parameters
  include-vlan        Use vlan
  layer2              Layer-2 parameters considered
  layer3              Only Layer-3 parameters considered
  layer4              Only Layer-4 parameters considered
  mixed               Mix of Layer-2, Layer-3 and Layer-4 paramaters (default)
  source              Include source parameters
  source-destination  Include source and destination parameters

и посмотреть результат

N5K1(config)# show fabricpath load-balance
ECMP load-balancing configuration:
L3/L4 Preference: Mixed (L2, L3 and L4)
Hash Control: Symmetric
Use VLAN: TRUE
 

Метки: , ,
Опубликовано: CCIE DC , Data Center

 

» Оставить комментарий

Вы должны войти чтобы прокомментировать.

Поиск

Категории

Мета

Ссылки

Cloud

2960 3560 3750 ACL ACS ASA ASA 8.3 certificate cisco DMVPN fc firewall inspect IOS IPSec IXIA ldap MPLS NAT nexus QoS router rsa SecurID security SNAF SSLVPN static switch troubleshooting VPN vyatta ZBFW МСЭ ЦНИИЭИСУ защита качество обслуживания коммутаторы консоль курс маршрутизатор маршрутизация настройка работа списки доступа

Календарь

Август 2014
Пн Вт Ср Чт Пт Сб Вс
« Май   Ноя »
 123
45678910
11121314151617
18192021222324
25262728293031